質問

なぜIPsecトンネルがダウンしているのにまだSocketにIPsecサイトへのルートが存在するのか？

例として、IPsecサイトはネイティブ範囲10.80.80.0/24で設定されていました

このサイトは現在ダウンしています。

CMAで、モニタリング>ルーティングテーブルの下に、10.80.80.0/24ネットワークが表示されません

しかし、Socket UIでは依然としてルートが表示されます：

回答する

ソケットの接続性をテストすることができ、他のソケットのルーティングテーブルに通常含まれている範囲は接続可能な場合のみ存在します。 それ以外の場合、これらの範囲はソケットのUIのモニタリングページでグレー表示されます。 これらのピン送信可能な範囲はREMOTE_SITEの種類であり、ソケットが互いにピンを送信することで接続性がテストされます。

対照的に、IPsecサイトは「ping」することができません。そのため、ソケットはこれらのリモートIPsecサイトを常に接続されていると見なし、それらの静的な範囲は常に到達可能です。 これらはREMOTE_RANGEとして見られます。 これは既知の制限であり、静的REMOTE_RANGEの到達可能性をテストすることはできません。

ケーススタディ

顧客が次のデザインを持っている場合、これは問題になります：

IPsecサイトはサブネット10.10.10.0/24、ソケットサイトは10.10.0.0/16ネットワークのBGP LANサブネットを持っています。 意図としては、IPsecトンネルがダウンしている場合、10.10.0.0/16宛のトラフィックをソケットサイト経由でルーティングすることです。 しかし、これは実行不可能です。 ソケットのルートテーブルに依然としてIPsecサイト経由の10.10.10.0/24ルートがあるため（IPsecトンネルがダウンしているにもかかわらず）、ソケットはパケットをドロップします。 

回避策：

1. BGPを介して範囲10.10.10.0/24を動的に公開します
2. または、他のサイトのネットワーク範囲と重ならないIPsecサイトでネイティブ範囲を使用します